NIS-2 KMU: Betroffenheit, Pflichten, Fahrplan 2025

Die NIS-2-Richtlinie erfasst nach Schätzung des Bundesinnenministeriums rund 29.000 Unternehmen in Deutschland [Quelle einfügen]. Davon sind die meisten mittelständische Betriebe, die bisher nicht als KRITIS galten. Wer 50 Mitarbeiter überschreitet und in einem der 18 Sektoren tätig ist, muss eigenständig prüfen, ob er unter die Richtlinie fällt. Eine behördliche Einstufung existiert nicht. Der folgende Text zerlegt die Pflichten in operative Bausteine.

NIS-2 KMU: Wer fällt unter die Richtlinie?

Die Schwellenwerte sind klar definiert. Ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz greift NIS-2, sofern das Unternehmen in einem der 18 Sektoren nach Anhang I oder II tätig ist. Beide Bedingungen müssen erfüllt sein: Größe und Sektorzugehörigkeit.

Die Richtlinie unterscheidet zwei Kategorien. Wesentliche Einrichtungen ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz und 43 Mio. Euro Bilanzsumme unterliegen strengeren Aufsichtsregeln und höheren Bußgeldrahmen. Wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz haben denselben Pflichtenkatalog, werden aber reaktiv beaufsichtigt.

Ein Sonderfall: KMU unter Schwellenwert können trotzdem erfasst sein, wenn sie als alleiniger Anbieter eines kritischen Dienstes in einer Region oder einem Mitgliedstaat fungieren. Vertrauensdiensteanbieter, DNS-Dienstleister, TLD-Registries und Anbieter öffentlicher elektronischer Kommunikationsnetze fallen unabhängig von der Größe darunter.

Die Selbstidentifikationspflicht ist der zentrale Unterschied zur alten KRITIS-Logik. Es gibt kein Schreiben vom BSI. Jedes Unternehmen muss selbst prüfen, registrieren und melden. Wer die Prüfung unterlässt und betroffen ist, haftet trotzdem.

Kleinstunternehmen unter 10 Mitarbeitern und 2 Mio. Euro Umsatz sind ausgenommen, mit Ausnahmen für DNS, TLD und Vertrauensdienste. Die KritisV definiert sektorspezifische Schwellenwerte, an denen sich die NIS-2 Sektorenzuordnung methodisch anlehnt, allerdings sind die NIS-2-Schwellen niedriger und treffen mehr Mittelständler.

Nächster Schritt: Betroffenheitsprüfung gegen die KRITIS-Dachgesetz Checkliste abgleichen.

Die 18 Sektoren im Detail

Anhang I listet die Sektoren hoher Kritikalität: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Wer in einem dieser Sektoren ab 250 Mitarbeitern operiert, wird automatisch wesentliche Einrichtung.

Anhang II umfasst die sonstigen kritischen Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Handel mit Chemikalien, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Diese Sektoren werden als wichtige Einrichtungen eingestuft.

Das verarbeitende Gewerbe ist der breiteste Auffangtatbestand. Erfasst sind Hersteller von Medizinprodukten, In-vitro-Diagnostika, Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Maschinenbau, Kraftfahrzeugen, Kraftfahrzeugteilen und sonstigen Fahrzeugen. Ein Maschinenbauer mit 80 Mitarbeitern und 15 Mio. Euro Umsatz fällt darunter.

Lebensmittel: erfasst sind Großhandel sowie industrielle Verarbeitung und Produktion. Der Einzelhandel ist ausgenommen. Eine Molkerei mit eigenem Vertrieb an Supermärkte liegt drin, der Hofladen nicht.

Chemische Industrie: Herstellung, Handel und Lagerung gefährlicher Stoffe nach CLP-Verordnung sind abgedeckt. Auch ein mittelständischer Lackproduzent mit 60 Mitarbeitern erfüllt die Voraussetzungen, wenn er einstufungspflichtige Gemische in Verkehr bringt.

Pflichten nach Artikel 21 NIS-2

Die NIS-2-Richtlinie fordert in Artikel 21 explizit Maßnahmen zur physischen Sicherheit der Anlagen sowie Risikomanagement in zehn Bereichen. Der Pflichtenkatalog ist abschließend und gilt für wesentliche wie wichtige Einrichtungen identisch.

Risikomanagement steht an der Spitze. Verlangt wird eine dokumentierte Risikoanalyse, eine Bewertung der konkreten Bedrohungslage und eine regelmäßige Aktualisierung. Eine einmalige Erstellung reicht nicht. Auditfähig ist nur, was nachweislich gepflegt wird.

Die zehn Bereiche der Sicherheitsmaßnahmen umfassen Backup-Management und Wiederherstellung, Incident Response, Geschäftskontinuität, Lieferkettensicherheit, Sicherheit bei Erwerb und Entwicklung von Systemen, Bewertung der Wirksamkeit, Kryptografie und Verschlüsselung, Personalsicherheit und Zugriffskontrolle, Multi-Faktor-Authentifizierung sowie Schulung.

Physische Sicherheit ist explizit gefordert. Artikel 21 Absatz 2 lit. e nennt Sicherheit von Anlagen, Perimeterschutz und Zutrittskontrolle als gleichrangige Pflicht neben IT-Maßnahmen. Viele KMU lesen das aus dem Gesetzestext nicht heraus und konzentrieren sich ausschließlich auf Firewalls und Patch-Management.

Schulung und Awareness des gesamten Personals sind dokumentations- und auditpflichtig. Stichprobenartige E-Learnings reichen für Auditprüfungen nicht aus.

Lieferkettensicherheit verlangt die Bewertung direkter Zulieferer einschließlich Sicherheitsdienstleister, Wartungsunternehmen und IT-Dienstleister. Wer einen externen Wachdienst beauftragt, muss dessen Sicherheitsniveau dokumentieren.

Meldepflichten: 24, 72, 30 Tage

Die Meldekaskade ist dreistufig. Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls ist eine Frühwarnung an die zuständige Behörde zu übermitteln. Die Meldung enthält erste Hinweise auf eine rechtswidrige oder böswillige Handlung. Grenzüberschreitende Auswirkungen sind ebenfalls anzugeben.

Innerhalb von 72 Stunden folgt die eigentliche Vorfallsmeldung mit einer Erstbewertung der Auswirkungen, einem Schweregrad und vorliegenden Kompromittierungsindikatoren.

Innerhalb eines Monats ist der Abschlussbericht zu liefern: detaillierte Beschreibung des Vorfalls, Ursachenanalyse, ergriffene und geplante Maßnahmen, grenzüberschreitende Auswirkungen.

Das BSI ist nationale Meldestelle und betreibt die Registrierungsplattform für betroffene Einrichtungen. Parallel zur BSI-Meldung müssen Empfänger des Dienstes informiert werden, wenn diese vom Vorfall erheblich betroffen sind.

Definition eines erheblichen Vorfalls: schwerwiegende Betriebsstörung des Dienstes, erheblicher finanzieller Verlust für die betroffene Einrichtung oder erhebliche materielle bzw. immaterielle Schäden bei Dritten. Die Schwellen sind unscharf, was die Praxis erschwert. Im Zweifel ist zu melden.

Geschäftsleiterhaftung und Sanktionen

Geschäftsleiter müssen die Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen. Die Pflicht ist personenbezogen und nicht auf die IT-Leitung delegierbar. Der CISO kann vorbereiten, die Verantwortung bleibt beim Geschäftsführer oder Vorstand.

Bei Pflichtverletzung greift persönliche Haftung. Geschäftsleiter können für Schäden in Anspruch genommen werden, die durch unzureichende Umsetzung entstehen. Eine D&O-Versicherung deckt grobe Pflichtverletzungen nicht zwingend ab.

Die Bußgeldrahmen sind gestaffelt. Für wesentliche Einrichtungen liegen sie bei bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist (Art. 34 NIS-2-Richtlinie). Für wichtige Einrichtungen sind es bis zu 7 Mio. Euro oder 1,4 Prozent.

Geschäftsleitungen müssen verpflichtend an Schulungen zu Cybersicherheitsrisiken teilnehmen und ähnliche Schulungen ihren Mitarbeitern anbieten. Die Teilnahme ist dokumentationspflichtig.

Vertiefung der Haftungsfragen: Vorstandshaftung unter NIS-2.

Physische Sicherheit als NIS-2 Pflicht

Artikel 21 Absatz 2 lit. e fordert ausdrücklich Maßnahmen zur physischen Sicherheit der Anlagen. Das ist kein interpretatorischer Spielraum, sondern Gesetzeswortlaut. Perimeterschutz, Zutrittskontrolle, Videoüberwachung und der Schutz kritischer Anlagen vor unbefugtem physischem Zugriff gehören zum Pflichtenkatalog.

Die Auditpraxis prüft das stichprobenartig vor Ort. Ein dokumentiertes Berechtigungskonzept ohne wirksame Tür reicht nicht. Wer einen Trafostandort, ein Serverraum-Cluster oder einen Chemikalienlagerplatz betreibt, muss physische Sicherung nachweisen.

Autonome Sicherheitsroboter erfüllen drei Anforderungen gleichzeitig: lückenlose Patrouillendokumentation, kontinuierliche Anwesenheit ohne Personalrotation und automatische Audit-Trails. Jede Runde wird mit Zeitstempel, Sensorpaket und Wegpunkt protokolliert. Die Protokolle sind unveränderlich und stehen für Auditprüfungen zur Verfügung.

QR-2 für Außenperimeter detektiert mit Thermalsensorik Eindringlinge auch bei Sichteinschränkung durch Nebel, Regen oder Dunkelheit. Der Betrieb erfolgt 24/7 ohne Schichtwechsel, Pausen oder Krankheitsausfälle.

Der Kostenvergleich entscheidet bei der CFO-Präsentation. Ein 24/7-Wachposten kostet laut BDSW-Branchendaten 15.000 bis 25.000 Euro monatlich pro stationärem Posten, abhängig von Tarifgebiet und Qualifikation. QR-2 im Robotics-as-a-Service Modell liegt bei rund 3.500 Euro pro Monat. Detaillierte Rechnung: TCO Wachschutz versus Robotik.

Registrierung und Umsetzungsfrist

Die deutsche Umsetzung erfolgt über das NIS2UmsuCG. Das Inkrafttreten ist gegenüber der ursprünglichen EU-Frist (17. Oktober 2024) (Art. 41 NIS-2-Richtlinie) verzögert. Die Vorbereitung ist dennoch zwingend, weil die Pflichten ab Inkrafttreten unmittelbar gelten und keine Übergangsfrist für die zehn Sicherheitsmaßnahmen vorgesehen ist.

Registrierungspflicht beim BSI besteht innerhalb von drei Monaten nach Geltungsbeginn der nationalen Umsetzung [Quelle: NIS2UmsuCG-Entwurf einfügen]. Wer sich nicht registriert, riskiert Bußgelder bereits aus dem Registrierungsversäumnis heraus.

Bereitzustellende Daten: Name der Einrichtung, Anschrift, aktuelle Kontaktdaten einschließlich E-Mail und Telefonnummer, Sektor und Unterbereich nach Anhang I bzw. II, Liste der Mitgliedstaaten, in denen Dienste erbracht werden, IP-Adressbereiche bei DNS- und Cloud-Diensten.

Aktualisierungspflicht: Änderungen der Stammdaten müssen innerhalb von zwei Wochen nachgemeldet werden [Quelle: NIS2UmsuCG-Entwurf einfügen]. Personalwechsel in der Geschäftsleitung, Adressänderungen, Sektorenwechsel.

Empfohlener Vorbereitungspfad: Gap-Analyse gegen Artikel 21, Maßnahmenplan mit Zuständigkeiten und Fristen, Pilotumsetzung der kritischsten Kontrollen vor Inkrafttreten. Wer ab Pflichtbeginn implementiert, hat keine Chance, die Meldepflichten innerhalb der 24-Stunden-Frist operativ abzuwickeln.

Konkreter Fahrplan für KMU

Die folgenden Wochenangaben gelten ab Projektstart. Ein 15-Wochen-Programm ist für einen mittelständischen Industriebetrieb mit 80 bis 250 Mitarbeitern realistisch.

Woche 1 bis 2: Betroffenheitsprüfung. Abgleich von Mitarbeiterzahl, Jahresumsatz und Bilanzsumme mit den Schwellenwerten. Zuordnung zu Anhang I oder II. Dokumentation der Entscheidung mit Datum und Verantwortlichem. Bei Grenzfällen externe Rechtsberatung einbeziehen.

Woche 3 bis 6: Gap-Analyse gegen die zehn Pflichtbereiche aus Artikel 21. Jeder Bereich wird mit drei Stufen bewertet: erfüllt, teilweise erfüllt, nicht erfüllt. Belege werden direkt erfasst. Schwerpunkt auf physische Sicherheit, Lieferkette und Meldekette, weil hier die meisten KMU Lücken haben.

Woche 7 bis 10: Priorisierung Quick Wins. MFA für alle administrativen Zugänge, getestete Backup-Wiederherstellung, dokumentierte physische Zugriffskontrolle für Serverräume und Produktionsleitstand. Kosten und Aufwand pro Maßnahme einschätzen.

Woche 11 bis 14: Beschluss der Geschäftsleitung über das Maßnahmenprogramm, Schulungsplan für Personal und Leitung, Lieferantenaudit für die zehn umsatzstärksten Dienstleister einschließlich Sicherheits- und Wartungsfirmen.

Ab Woche 15: Implementierung im Dauerbetrieb, jährliche Auditzyklen, halbjährliche Meldekettenübung mit Stoppuhr. Die 24-Stunden-Frühwarnung muss praktisch geübt sein, bevor sie ernsthaft gefragt wird.

Wer den Fahrplan extern begleiten lassen will, findet bei NIS-2 Compliance bei Quarero das Gap-Analyse-Template und ein Pilotpaket für physische Sicherheit. Referenzimplementierungen aus dem verarbeitenden Gewerbe sind dort ebenfalls dokumentiert. QR-2-Pilotpaket anfragen für einen vier-Wochen-Test der QR-2-Patrouille am eigenen Standort.